Троян или...?

Discussion in 'Безопасность и Анонимность' started by Noman, 20 Dec 2006.

  1. Noman

    Noman Elder - Старейшина

    Joined:
    10 Oct 2006
    Messages:
    112
    Likes Received:
    23
    Reputations:
    2
    Ситуация такая: Имеется сеть из 3-ех компов, работающих через хаб. Один из компов подключен к инету через диалап. Остальные получают доступ в интернет через 1-ый.

    Так вот на одном компе замечается такая вещь. Нехороший процесс SVCHOST на порту 2869 что-то усиленно пытается скачать из нета. При этом, такое может появиться при загрузке системы, а может и нет. Стоят Outpost 4 pro, Avira AntiVir Personal ed Classic. На шпионов проверял XoftSpySE 4.29, Ad-Aware SE Professional 1.06 и аутпостовским анти-шпионом. Что нашлось - удалил. Но даже после этого он изредко туда лезет. Система стоит XP pro SP2.

    Так же замечено, что процесс может появиться и после переустановки всей системы. Автообновление и прочие радости отключены.

    У кого какие предположения на счет этой проблемы?
     
  2. Enk0r

    Enk0r Elder - Старейшина

    Joined:
    23 Jun 2006
    Messages:
    61
    Likes Received:
    58
    Reputations:
    32
    svchost.exe это сервис для локальной сети хотя через него могут разные программы в инет лазить, попробуй выгружать по одной проге и смотреть что измениться.
     
  3. TaNkist

    TaNkist Elder - Старейшина

    Joined:
    6 Apr 2006
    Messages:
    147
    Likes Received:
    47
    Reputations:
    19
    svchost.exe - Generic Host Process for Win32 Services. Нужен для запуска различных системных сервисов. Значит какая-то служба пытается через него выйти в инет. тебе поможет команда tasklist /svc
     
  4. Noman

    Noman Elder - Старейшина

    Joined:
    10 Oct 2006
    Messages:
    112
    Likes Received:
    23
    Reputations:
    2
    В общем вот строчка:

    svchost.exe 3352 HTTPFilter

    Что такое HTTPFilter?
     
  5. W!z@rD

    W!z@rD Борец за русский язык

    Joined:
    12 Feb 2006
    Messages:
    973
    Likes Received:
    290
    Reputations:
    43
    а там инжекта нет случаем? аутпост не говорил ничего?
    >HTTPFilter HTTP SSL
    линк
    http://www.google.ru/search?hl=ru&q=%22HTTPFilter%22&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
     
  6. EPIDEM

    EPIDEM Banned

    Joined:
    28 Dec 2005
    Messages:
    124
    Likes Received:
    37
    Reputations:
    -10
    Когда проверяю обновления для Вынь svchost.exe хавает больше всего ресурсов.

    Обнови вынь и все пройдет.
     
  7. Noman

    Noman Elder - Старейшина

    Joined:
    10 Oct 2006
    Messages:
    112
    Likes Received:
    23
    Reputations:
    2
    W!z@rD нет, молчит, как партизан.
    Но, спустя пары часов экспериментов с выгрузкой программ, выяснилось, что запрос на удаленный порт 2869 идет при запуске FireFox, но не исчезает после его закрытия. При этом он может что-то качать, а может просто висеть на удаленном порту без всякой активности.

    EPIDEM если ты имеешь ввиду обновить XP, то на диалапе это будет лет 5-6 :D
     
  8. Зелибоба

    Joined:
    7 Dec 2006
    Messages:
    30
    Likes Received:
    5
    Reputations:
    0
    svchost.exe - Generic Host Process for Win32 Services приложение будет закрыто приносим извинения за неудобства
    Во-во-во, у меня Виндоуз ХР СП2 постоянно это писал каждые минут 5-7 эту ошибку выдавал, решил Home поставить, дня 2 все нормально было, а потом опять!!! Далее прикол! Поставил ВИСТУ, и даже на висте эта ошибка вылезала, только окошко выглядело подругому, а ошибка все таже!
    Доктор Веб определяет это файл в памяти или в С:\WINDOWS\svchost.exe как вирус win32!
    Что это за чудо?
     
    1 person likes this.
  9. CyberPunk

    CyberPunk Elder - Старейшина

    Joined:
    25 May 2006
    Messages:
    115
    Likes Received:
    38
    Reputations:
    10
    А антивирус стоит? Включен?
     
  10. ch0Sen

    ch0Sen New Member

    Joined:
    19 Dec 2006
    Messages:
    10
    Likes Received:
    2
    Reputations:
    0
    Зелибоба
    Это Virus.Win32.Hidrag
    подробнее тут _http://www.viruslist.com/ru/viruses/encyclopedia?virusid=81289

    настоящий адрес процесса c:\windows\system32\svchost.exe
    так что если в папке с:\windows валяется svchost.exe - это сразу наводит на нехорошую мысль, " а хрена ваще сдесь делает svchost?" также смотри(WINEVENT.EXE, alg.exe, MSBLAST.EXE, TEEKIDS.EXE, PENIS32.EXE)

    Noman
    Создай правило, запрещающее любую сетевую активность c теми адресами, которые вызывают у тебя подозрение
    и поищи в любых каталогах, кроме \system32, особенно в папке c:\windows выше перечисленные мною exe'шники или dll'ки
     
  11. Noman

    Noman Elder - Старейшина

    Joined:
    10 Oct 2006
    Messages:
    112
    Likes Received:
    23
    Reputations:
    2
    ch0Sen разумеется, расположение процесса я уточнял. Сейчас посмотрел остальные - таких тоже нет.
    Что касаемо правила, если я создаю такое правило на удаленный 2869, то у меня не открываются страницы в браузере, но только те, которые до этого не были открыты. По ним я могу свободно перемещаться, по другим нет. И данный процесс продолжает создаваться до бесконечности пока аутпост удаляет заблокированные.
     
  12. ch0Sen

    ch0Sen New Member

    Joined:
    19 Dec 2006
    Messages:
    10
    Likes Received:
    2
    Reputations:
    0
    Я имел ввиду правило для Исходящего направления на те удалённые адреса, к которым без твоего ведома идёт конект, а не блокироровку локального порта.
     
    1 person likes this.
  13. Зелибоба

    Joined:
    7 Dec 2006
    Messages:
    30
    Likes Received:
    5
    Reputations:
    0
    Не ЧУВАК, в папке винды он тоже есть!
    И в систем 32 тоже!
     
  14. Baron Night

    Baron Night Elder - Старейшина

    Joined:
    6 Aug 2006
    Messages:
    24
    Likes Received:
    19
    Reputations:
    30
    удаляй. его там не должно быть. это скорее всего вирусак
     
  15. Noman

    Noman Elder - Старейшина

    Joined:
    10 Oct 2006
    Messages:
    112
    Likes Received:
    23
    Reputations:
    2
    Продолжение веселья. Включаю комп, запускаю qip, потом The Bat, начинаю проверку почты - пишет невозможно соединиться с сервером, потом qip начинает писать "Ваш клиент отправляет пакеты слишком часто. Подождите пару минут или отправляйте сообщения помедленнее, иначе вы будете отключены от сервера." - хотя я с него не отправил ни одного сообщения. Отрубаю qip. Лезу в аутпост смотреть что куда лезет - опять исходящее SVCHOST но уже по UDP. Аутпост его блокирует, и как только The Bat пишет, что невозможна связь с сервером, процесс пропадает. Если включаю qip, то что-то опять же через svchost по UDP лезет на DNS удаленного компа. При этом ранее и qip и мыша у меня работали около года без проблем.
    Уже раз 5 проверился антивирем со свежими базами - толку чуть. Вообщем надо переходить на линукс =)
     
    #15 Noman, 23 Dec 2006
    Last edited: 23 Dec 2006
  16. Noman

    Noman Elder - Старейшина

    Joined:
    10 Oct 2006
    Messages:
    112
    Likes Received:
    23
    Reputations:
    2
    ch0Sen там и удаленного адреса нет. То бишь он c любого локального порта лезет на комп, где стоит модем, а именно на 2869 порт, то есть удаленный адрес имеет вид name.mshome.net
     
  17. .:: Camelot ::.

    Joined:
    19 Dec 2006
    Messages:
    18
    Likes Received:
    0
    Reputations:
    -8
    По моему в данном случае проще снести систему...